Citrix Application Delivery Management

Detalles de infracción de bot

Nota

También puede ver el análisis del patrón de tráfico, incluso si no se observan infracciones. Para obtener más información, consulte Comprobaciones de comportamiento sin infracciones

Conexiones excesivas de clientes

Cuando un cliente intenta acceder a la aplicación web, la solicitud de cliente se procesa en el dispositivo Citrix ADC, en lugar de conectarse directamente al servidor. En algunos escenarios, los atacantes usan bots automatizados para obtener acceso a la aplicación o hacer que la aplicación no responda, enviando conexiones altas.

Con el indicador Conexiones de cliente excesivas, puede analizar casos cuando una aplicación recibe conexiones de cliente inusualmente altas a través de bots.

Conexiones excesivas de clientes

En Detalles del evento, puede ver:

  • La aplicación afectada. También puede seleccionar la aplicación de la lista si dos o más aplicaciones se ven afectadas por infracciones.

  • El nivel de sensibilidad y cambiarlo a bajo, medio o alto. La opción Editar sensibilidad permite ver y editar el perfil de comprobación de comportamiento existente o crear un perfil nuevo. Para obtener más información, consulte Configurar perfiles de comprobación de comportamiento

  • El gráfico que indica todas las infracciones

  • El tiempo de ocurrencia de la infracción

  • El mensaje de detección de la infracción, que indica el total de direcciones IP que realizan la transacción de la aplicación

  • El rango de direcciones IP aceptadas que la aplicación puede recibir

Adquisición de cuenta

Nota

Asegúrese de habilitar los análisis de seguridad avanzados. Para obtener más información, consulte la Configuración.

Algunos bots maliciosos pueden robar credenciales de usuario y realizar varios tipos de ciberataques. Estos bots maliciosos se conocen como bots malos. Es esencial identificar bots defectuosos y proteger su dispositivo de cualquier forma de ataques de seguridad avanzados.

Requisito previo

Debe configurar la configuración de Account Takeover en Citrix ADM.

  1. Vaya a Analytics > Seguridad > Violaciones de seguridad

  2. Haga clic en el icono de configuración disponible junto a la lista de duración de tiempo.

  3. En la pestaña Adquisición de cuentas y haga clic en Agregar

    Adquisición de cuentas

  4. En la página Agregar aplicación, especifique los siguientes parámetros:

    1. Aplicación: Seleccione el servidor virtual de la lista.

    2. Método: Seleccione el tipo de método HTTP de la lista. Las opciones disponibles son GET, PUSH, POST y UPDATE.

    3. URL de inicio de sesión y código de respuesta de éxito : especifique la dirección URL de la aplicación web y especifique el código de estado HTTP (por ejemplo, 200) para el que desea que Citrix ADM informe de la infracción de adquisición de cuenta de bots defectuosos.

    4. Haga clic en Agregar.

      Adquisición de cuentas

Después de configurar los ajustes, utilizando el indicador de adquisición de cuentas, puede analizar si los robots defectuosos intentaron hacerse cargo de su cuenta, dando varias solicitudes junto con credenciales.

Adquisición de cuenta1

En Detalles del evento, puede ver:

  • La aplicación afectada. También puede seleccionar la aplicación de la lista si dos o más aplicaciones se ven afectadas por infracciones.

  • El gráfico que indica todas las violaciones

  • El tiempo de ocurrencia de la infracción

  • El mensaje de detección de la infracción, que indica la actividad total de inicio de sesión fallida inusual, los inicios de sesión correctos y los inicios de sesión fallidos

  • La mala dirección IP del bot. Haga clic para ver detalles como la hora, la dirección IP, el total de inicios de sesión correctos, el total de inicios de sesión fallidos y el total de solicitudes realizadas desde esa dirección IP.

    Adquisición de cuenta1

Taquación de cuentas para Citrix Gateway

Muchos usuarios tienen acceso a Citrix Gateway para acceso remoto a través de VPN y también para acceder a Citrix Virtual Apps and Desktops. La página de inicio de sesión de Citrix Gateway para estos usuarios es accesible a través de Internet. Esta disponibilidad de la página de inicio de sesión se convierte en un objetivo fácil para la adquisición de cuentas. Algunos bots malintencionados pueden robar credenciales de usuario y realizar varios tipos de ciberataques, como el relleno de credenciales y la pulverización de contraseñas.

  • Relleno de credenciales : ciberataque en el que las credenciales de violación de datos obtenidas de un servicio se utilizan en otro servicio para obtener acceso.

  • Pulverización de contraseñas : un ciberataque en el que el atacante/bot intenta obtener acceso no autorizado a un servicio adivinando las credenciales repetidamente en un corto período de tiempo.

Estos bots maliciosos se conocen como bots malos. En Citrix ADM, puede analizar estas actividades de inicio de sesión inusuales para Citrix Gateway. Con el indicador Account Takeover for Citrix Gateway, como administrador, puede analizar si los robots defectuosos han intentado hacerse cargo de la cuenta de Citrix Gateway, proporcionando varias solicitudes junto con credenciales.

ATO

En Detalles del evento, puede ver:

  • La aplicación afectada. También puede seleccionar la aplicación de la lista si dos o más aplicaciones se ven afectadas por infracciones.

  • El gráfico que indica detalles como el total de solicitudes, inicios de sesión correctos y inicios de sesión fallidos.

  • El tiempo de ocurrencia de la infracción

  • El mensaje de detección de la infracción, que indica la actividad total de inicio de sesión fallida inusual, los inicios de sesión correctos y los inicios de sesión fallidos

  • La mala dirección IP del bot. Haga clic para ver detalles como la hora, la dirección IP del cliente, el total de inicios de sesión correctos, el total de inicios de sesión fallidos y el total de solicitudes realizadas desde esa dirección IP.

    Clientes de gateway

Volumen de carga inusualmente alto

El tráfico web comprende los datos que se procesan para su carga. Por ejemplo, si su promedio de datos de carga por día es de 500 MB y si carga datos de 2 GB, esto puede considerarse un volumen de datos de carga inusualmente alto. Los bots también son capaces de procesar la carga de datos más rápido que los humanos.

Mediante el indicador Volumen de carga inusualmente alto, puede analizar casos anormales de carga de datos a la aplicación a través de bots.

Volumen de carga inusualmente grande

En Detalles del evento, puede ver:

  • La aplicación afectada. También puede seleccionar la aplicación de la lista si dos o más aplicaciones se ven afectadas por infracciones.

  • El gráfico que indica todas las violaciones

  • El tiempo de ocurrencia de la infracción

  • El mensaje de detección de la infracción, que indica el volumen total de datos de carga procesado

  • El rango aceptado de datos de carga a la aplicación

Volumen de descarga inusualmente alto

Al igual que el alto volumen de carga, los bots también pueden realizar descargas más rápido que los humanos.

Mediante el indicador Volumen de descarga inusualmente alto, puede analizar casos anormales de datos de descarga de la aplicación a través de bots.

Descarga inusualmente grande

En Detalles del evento, puede ver:

  • La aplicación afectada. También puede seleccionar la aplicación de la lista si dos o más aplicaciones se ven afectadas por infracciones.

  • El gráfico que indica todas las violaciones

  • El tiempo de ocurrencia de la infracción

  • El mensaje de detección de la infracción, que indica el volumen total de datos de descarga procesado

  • El rango aceptado de datos de descarga de la aplicación

Tasa de solicitudes inusualmente alta

Puede controlar el tráfico entrante y saliente desde o hacia una aplicación. Un ataque de bot puede realizar una alta tasa de solicitudes inusual. Por ejemplo, si configura una aplicación para permitir 100 solicitudes/minuto y si observa 350 solicitudes, entonces podría ser una posibilidad de un ataque bot.

Con el indicador Ratio de solicitudes inusualmente alta, puede analizar la tasa de solicitudes inusual recibida en la aplicación.

Alta tasa de solicitudes

En Detalles del evento, puede ver:

  • La aplicación afectada. También puede seleccionar la aplicación de la lista si dos o más aplicaciones se ven afectadas por infracciones.

  • El gráfico que indica todas las violaciones

  • El tiempo de ocurrencia de la infracción

  • El mensaje de detección de la infracción, que indica el total de solicitudes recibidas y% de solicitudes excesivas recibidas que las solicitudes esperadas

  • El rango aceptado de la tasa de solicitud esperada varía de la aplicación

Escáneres de sitios web

Un rastreador web, araña o robot de motor de búsqueda puede descargar e indexar contenido de Internet. El propósito de estos bots es indexar el contenido del sitio web a través de Internet y hacer que esos sitios aparezcan en los resultados de los motores de búsqueda. Los bots de rastreador web comienzan con un determinado conjunto de fuentes conocidas, siguen hipervínculos de una página a otra página y de otra página a más páginas, etc. Los buenos bots siguen las reglas e indexan solo las páginas que se requieren para ser mostradas en los motores de búsqueda. Los robots malos intentan acceder a todo el contenido posible de un sitio web y perfilar el sitio web, que posteriormente se puede utilizar para segmentar el sitio para varios fines.

Requisito previo

Debe configurar la configuración de los analizadores de sitios web en Citrix ADM.

  1. Vaya a Analytics > Seguridad > Violaciones de seguridad.

  2. Haga clic en el icono de configuración disponible junto a la lista de duración de tiempo.

  3. En la pestaña Análisis y raspado de sitios web y haga clic en Agregar.

    Configuración del análisis de sitios web

  4. En la página Agregar configuración de escaneo y raspado de sitios web:

    1. Método de seguimiento de sesiones : seleccione el método de seguimiento como IP de cliente, Citrix Web Application Firewall, Aplicación backendo URL.

      Nota

      Si selecciona Aplicación back-end, asegúrese de seleccionar la opción Habilitar encabezado de cookies cuando habilite análisis de seguridad avanzada.

      Habilitar encabezado de cookie

    2. Aplicación : seleccione la aplicación de la lista.

  5. Haga clic en Agregar.

    Método de seguimiento de sesiones

Después de configurar los ajustes, utilizando el indicador Website Scanners, puede analizar si la sesión del cliente (bot bueno o bot malo) está intentando escanear o rastrear todo el sitio web.

Escáner de sitios web

En Detalles del evento, puede ver:

  • La aplicación afectada. También puede seleccionar la aplicación de la lista si dos o más aplicaciones se ven afectadas por esta infracción.

  • El nivel de sensibilidad y cambiarlo a bajo, medio o alto. La opción Editar sensibilidad permite ver y editar el perfil de comprobación de comportamiento existente o crear un perfil nuevo. Para obtener más información, consulte Configurar perfiles de comprobación de comportamiento

  • El gráfico que indica los posibles detalles del escaneo.

  • El mensaje de detección, que indica las posibles sesiones del analizador detectadas. Haga clic en el número bajo Ver posibles sesiones del analizador para ver los detalles del cliente.

    Posibles sesiones

Raspadores de contenido

El raspado de contenido es el proceso de usar bots para extraer información crítica del negocio de una fuente de destino. Estos robots defectuosos pueden eliminar contenidos como imágenes, texto, códigos HTML, etc. de miles de páginas en poco tiempo. El impacto del raspado de contenido puede resultar en contenido plagiado, pérdida en la clasificación SEO, exención de responsabilidad de derechos de autor, etc.

En Citrix ADM, como administrador, puede analizar si el bot defectuoso está tratando de desechar el contenido del sitio web. Debe configurar el siguiente requisito previo para ver los detalles en Citrix ADM.

Requisito previo

Debe configurar las opciones de Raspado de contenido en Citrix ADM.

  1. Vaya a Analytics > Seguridad > Violaciones de seguridad.

  2. Haga clic en el icono de configuración disponible junto a la lista de duración de tiempo.

  3. En la pestaña Análisis y raspado de sitios web y haga clic en Agregar.

    Configuración del análisis de sitios web

  4. En la página Agregar configuración de escaneo y raspado de sitios web:

    1. Método de seguimiento de sesiones : seleccione el método de seguimiento como IP de cliente, Citrix Web Application Firewall, Aplicación backendo URL.

      Nota

      Si selecciona Aplicación back-end, asegúrese de seleccionar la opción Habilitar encabezado de cookies cuando habilite análisis de seguridad avanzada.

      Habilitar encabezado de cookie

    2. Aplicación : seleccione la aplicación de la lista.

  5. Haga clic en Agregar.

    Método de seguimiento de sesiones

Después de configurar los ajustes, utilizando el indicador Scrapers de contenido, puede analizar si una sesión de cliente (bot bueno o bot malo) está tratando de desechar el contenido.

Raspadores de contenido

En Detalles del evento, puede ver:

  • La aplicación afectada. También puede seleccionar la aplicación de la lista si dos o más aplicaciones se ven afectadas por esta infracción.

  • El gráfico que indica los posibles detalles de chatarra.

  • El mensaje de detección, que indica las posibles sesiones de rascador detectadas. Haga clic en el número bajo Ver posibles sesiones de rascador para ver los detalles del cliente.

Abuso API

El proceso de certificación de la identidad de usuario que está accediendo a los recursos del servidor se conoce como autenticación API. La autenticación de API puede ser a través de:

  • Clave API

  • Token JWT

  • Certificado

Los robots defectuosos pueden usar o robar estas autenticaciones y realizar varios tipos de ciberataques como relleno de credenciales y pulverización de contraseñas. En Citrix ADM, puede analizar actividades de inicio de sesión inusuales para API.

Utilizando el indicador Abuso de API, como administrador, puede analizar si los bots defectuosos han intentado hacerse cargo del recurso de destino mediante la autenticación API.

Abuso API

En Detalles del evento, puede ver:

  • La aplicación afectada. También puede seleccionar la aplicación de la lista si dos o más aplicaciones se ven afectadas por infracciones.

  • El gráfico que indica detalles como el total de solicitudes, inicios de sesión correctos, inicios de sesión fallidos e infracciones de abuso de API.

  • El tiempo de ocurrencia de la infracción

  • El mensaje de detección de la infracción, que indica la autenticación de API exitosa y los intentos de error.

  • Los detalles del bot malo. Haga clic para ver detalles como la hora, la dirección IP del cliente, el total de inicios de sesión correctos, el total de inicios de sesión fallidos y el total de solicitudes realizadas desde esa dirección IP.

    Sesión de cliente bot incorrecta

Detección de bots basada en pulsaciones de teclas y dinámicas del ratón

Más del 35 por ciento del tráfico web comprende bots y estos robots pueden realizar varias tareas a un ritmo más rápido que los humanos. En algunos escenarios, los bots también están involucrados en tareas que requieren entradas de teclado y ratón.

Por ejemplo, sólo un humano debe escribir una contraseña para acceder a un recurso seguro. Los bots pueden implicar ataques como la adquisición de cuentas, proporcionando automáticamente credenciales y probando múltiples combinaciones más rápido que los humanos. Además de las infracciones (adquisición de cuentas, conexiones excesivas de clientes, etc.), Citrix ADM también le permite detectar y obtener información sobre los bots en función de las pulsaciones de teclas y la dinámica del ratón.

Requisitos previos

  • Habilitar conocimiento del bot.

  • Configure lo siguiente en la instancia de Citrix ADC:

     add/set bot profile <name> -KMDetection ( ON | OFF )
    
     bind bot profile <name> -KMDetectionExpr -name <string> -expression <expression> -enabled ( ON | OFF ) –comment <string>
    
     add/set bot profile <name> -KMJavaScriptName  <string>
    
     set bot profile <profile_name> -KMEventsPostBodyLimit 8192K
     <!--NeedCopy-->
    
  • Agregar directiva de bot y vincular directiva de bot a un servidor virtual.

  • Asegúrese de comprobar si la opción de detección de bots basada en pulsación de tecla y Mouse Dynamic está seleccionada en el perfil de comprobación de comportamiento. Para obtener más información, consulte la Configurar perfil de comprobación de comportamiento.

Después de configurar los requisitos previos, el indicador de detección de bot basado en pulsación de tecla y ratón en Citrix ADM permite ver los bots que están involucrados en la pulsación de tecla y la dinámica del ratón.

Pulsación de tecla y robot del ratón

En Detalles del evento, puede ver:

  • La aplicación afectada. También puede seleccionar la aplicación de la lista si dos o más aplicaciones se ven afectadas por esta infracción.

  • El gráfico que indica los detalles potenciales del bot.

  • El mensaje de detección, que indica las posibles sesiones de bot detectadas. Haga clic en el número bajo Ver sesiones potenciales de bot para ver detalles, incluidos el tipo de bot y la categoría de bot. Para obtener más información, consulte la Detección de bot.

    Bots potenciales